¿Qué es el cifrado de extremo a extremo?



Muchos servicios anuncian E2EE, pero no todos lo ofrecen.

Pregunta: ¿Qué es el cifrado de extremo a extremo (E2EE)?

Hudson Bloom, consultor senior, seguridad de aplicaciones, Optiv: El cifrado de extremo a extremo es un estilo de conexión cifrada en el que se mantiene el secreto del contenido del mensaje desde el remitente hasta el destinatario. Esto contrasta con los esquemas de cifrado en los que un tercero, como un servidor de aplicaciones, tiene acceso a los datos sin cifrar.

Considere el caso de enviar un mensaje directo a través de un sitio world-wide-web de redes sociales. Si tanto usted como el destinatario están conectados a ese sitio a través de HTTPS, entonces ciertamente está utilizando cifrado, y un atacante que lo supervise o el tráfico de Net de su destinatario tendría que vencer la seguridad de la capa de transporte (TLS) para poder descifrar los datos. Sin embargo, un atacante con acceso interno al sitio world-wide-web de la purple social podría monitorear sus mensajes fácilmente, porque el sitio internet habrá negociado el cifrado TLS con cada parte por separado, y debe descifrar y volver a cifrar su mensaje antes de enviarlo al destinatario. . También podríamos describir este arreglo en términos de que hay dos canales encriptados separados: uno del remitente al servidor y otro del servidor al destinatario.

Sin embargo, suponga que usted y su destinatario están utilizando una técnica como Privacidad bastante buena (PGP) para cifrar estos mensajes antes de enviarlos a través del sitio internet. Un atacante que lo observe a usted o al tráfico de Internet del destinatario aún tendría que derrotar a TLS para leer lo que se envió, pero incluso si lo hiciera, o incluso si tuviera acceso interno al sitio web de la purple social, solo podría leer el PGP -mensaje cifrado. Por lo tanto, podríamos describir el cifrado PGP como formando un canal cifrado entre el remitente y el destinatario. Los terceros que transmiten los datos entre esos puntos finales no pueden leer el texto sin cifrar está cifrado de un extremo a otro. (PGP se menciona aquí como un ejemplo relativamente común de cifrado de extremo a extremo, pero no es una solución llave en mano).

Muchos servicios de comunicación por Net anuncian el cifrado de extremo a extremo, pero no todos lo ofrecen. Saber con certeza si el cifrado ofrecido es realmente de un extremo a otro es difícil sin una revisión experta del código fuente. El ejemplo anterior de usar PGP en un servicio menos seguro no es estrictamente académico usuarios que desean un mayor nivel de secreto han empleado PGP en servicios menos seguros, como el correo electrónico, durante muchos años. Al igual que con todas las tecnologías y técnicas modernas de encriptación digital, es importante considerar quién es su potencial actor de amenazas y cuánto confía en el software que está utilizando y en las personas que lo crearon «.

Hudson Bloom es consultor de seguridad senior en el equipo de gestión de amenazas de Optiv, en la práctica de seguridad de aplicaciones. Pasó casi una década trabajando como desarrollador de software en las industrias de tecnología médica y aeroespacial antes de llegar a Optiv para centrarse en la seguridad. Hudson se especializa en ingeniería inversa móvil y de cliente pesado, especialmente contra tecnologías antiguas o esotéricas.

The Edge es el hogar de Dim Reading through para características, datos de amenazas y perspectivas detalladas sobre ciberseguridad. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique